COBIT. Vid migrering till molnet. Kandidatuppsats, 15 högskolepoäng, SYSK02, Informatik. Framlagd: Jakob Karlsson

Storlek: px
Starta visningen från sidan:

Download "COBIT. Vid migrering till molnet. Kandidatuppsats, 15 högskolepoäng, SYSK02, Informatik. Framlagd: 2012-05-25. Jakob Karlsson"

Transkript

1 COBIT Vid migrering till molnet Kandidatuppsats, 15 högskolepoäng, SYSK02, Informatik Framlagd: Författare: Tobias Gullberg Jakob Karlsson Handledare: Anders Svensson Examinatorer: Björn Johansson & Odd Steen

2 Abstrakt Organisationer väljer molnet då det ger dem möjlighet till kostnadsbesparingar och att få del i skalbara IT-lösningar för att inte bli begränsade av IT-resursernas kapacitet. Att migrera från en plattform till en molntjänstleverantör kan skapa problem för organisationen. Uppsatsen avser att belysa problematiken som uppstår mellan organisationen och molntjänstleverantören vid en migrering till molnet. Vi vill lyfta fram och identifiera problemområdena och visa hur COBIT kan avhjälpa dessa genom att ge en ökad kontroll. Det har skett insamling av empiriskdata genom intervjuer där data samlats in hos informanter med ledande IT-roller inom organisationerna. Resultatet tyder på att många organisationer hänvisar till avtal och tar lite ansvar själva i form av kontroll av sin leverantör. Tillämpandet av COBIT hade i samtliga organisationer gjort en skillnad för deras styrning och minskat deras problem att utsätta sig för risker. 3

3 Innehållsförteckning 1. Introduktion Bakgrund & Problemområde Syfte Avgränsningar Litteraturgenomgång Karaktärsdrag för molnet On-demand self-service Broad network access Resourse pooling Rapid elasticity Measured service Molnlösningsmodeller Public Cloud Private Cloud Hybrid Cloud Community Cloud Molntjänstmodeller Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) IT-Säkerhetskoncept Spårbarhet Integritet Tillgänglighet Sekretess COBIT Definition Introduktion Identifierade processer i COBIT COBIT-Processerna Motivering för COBIT Metod

4 3.1 Angreppssätt Intervjudel Urvalskriterier för organisationer Urval av informanter Design av intervjuguide Genomförande av intervjuer Analys av intervjumaterial Undersökningens kvalité Litteraturkritik Etik Empiriska data och analys Molnet och risker Analys av avsnittet Molnet och risker Migreringen Analys av avsnittet Migreringen Drift Analys av avsnittet Drift Styrning Analys av avsnittet Styrning Reflekterande Analys av avsnittet Reflekterande Diskussion Slutsats Bilagor Bilaga Bilaga Bilaga Bilaga Bilaga Litteratur

5 Figurförteckning Figur 1 Visuell översikt för Molnlösningsmodeller Figur 2 Molnet i förhållande till IT-säkerhet Figur 3 Grundläggande principer för COBIT Figur 4 Hantering av IT-resurser för att leverera IT-mål Figur 5 De fyra sammankopplade områdena i COBIT Tabellförteckning Tabell 1 Problem kopplade till COBIT Tabell 2 Molnet och risker Tabell 3 Molnet och risker Tabell 4 Molnet och risker Tabell 5 Molnet och risker Tabell 6 Migreringen Tabell 7 Migreringen Tabell 8 Migreringen Tabell 9 Migreringen Tabell 10 Drift Tabell 11 Drift Tabell 12 Styrning Tabell 13 Styrning Tabell 14 Styrning Tabell 15 Styrning Tabell 16 Styrning Tabell 17 Styrning Tabell 18 Styrning Tabell 19 Styrning Tabell 20 Reflekterande Tabell 21 Reflekterande

6 1. Introduktion 1.1 Bakgrund & Problemområde Organisationer möts ständigt av nya teknologiska förändringar, molnet är en av dessa. Molnet kan ha många teknologiska och kostnadseffektiva fördelar. De ekonomiska fördelarna kan innefatta kostnadsbesparingar genom minskade utgifter och utnyttjande av skalfördelning. Molntjänster gör det även möjligt för organisationer att använda sig av flexibelt skalbara lösningar genom att erbjuda On-demand resurser för att möta kunddrivna kapacitetskrav. (Farrell, 2010) Användningen av molntjänster är en attraktiv lösning för organisationer som vill förbättra sina IT-tjänster. Organisationen kan uppnå nästan obegränsade skalbarhet av IT-infrastrukturen och detta till en kraftigt reducerad kostnad, i förhållande till om organisationen skulle använda endast intern kapacitet. (Beckers, 2011) Användningen av en molntjänst förutsätter dock att organisationen litar på leverantören och det faktum att leverantören har tillgång till organisationens data och organisationens kritiska information. Ett sätt att säkerhetsställa förtroendet är att behålla en stark kontroll av molntjänsten. (Beckers, 2011) Att genomföra en migrering från en plattform till en annan innebär oftast att förutsättningarna förändras. Det blir bättre inom några områden, andra blir sämre, problem uppstår. Problem kan hanteras på flera olika sätt. Organisationen kan sätta upp strategier och policys för hur problem ska undvikas. Organisationer kan tillämpa användningen av ramverk och standarder för att minimera risken för att problem ska uppstå. Att migrera från en plattform till en annan innebär att ett antal främmande scenarier uppstår, scenarier som organisationen måste bedöma och ta ställning till. En migrering kan innebära att organisationen ändrar arbetssätt eller struktur och då måste även gamla rutiner, strategier och standarder anpassas till de nya medel som organisationen försett sig med. Trots att det finns många fördelar med att migrera till molnet kan organisationer inte bortse från att fortsätta hantera områden som berör grundläggande säkerhetsrelaterade problem, det vill säga integritet, spårbarhet, sekretess och tillgänglighet (Farrell, 2010). För att hantera och avhjälpa grundläggande problem, som kan uppstå vid en migrering, kan det vara lämpligt att arbeta med ramverk som förhåller sig till organisationens affärsmål, IT-processer och ITresurser. (Van Grembergen, 2009) Vi vill hävda att organisationer inte alltid är medvetna om de problem som de utsätter sig för då de migrerar till en molntjänst. Kontroll över data minskar och beroendet av molntjänstleverantören ökar. Vi hävdar att organisationer negligerar de problem som användandet av molntjänster innebär i det långa loppet. Att migrera till molnet utan att upprätta kontroller kan få konsekvenser. Detta fick ett antal av molntjänstleverantören Tietos kunder erfara under hösten 2011 då Tietos datacenter havererade. Detta gjorde bland annat att Apoteket inte kunde lämna ut receptbelagd medicin. Stockholms stads intranät slutade att fungera vilket drabbade alla 7

7 förvaltningar, bolag, stadsdelarna och ca skolelever. Statliga SBAB påverkades även av haveriet då det inte längre gick att ansöka om lån via deras hemsida eller telefon. Nacka kommun, Bilprovningen och Vetenskapsrådet är också exempel på verksamheter som drabbades vid Tietos haveri. (Jerräng, 2011) Värderande IT-ramverk så som COBIT (Control Objectives for Information and related Technology) borde ha en stor inverkan vid en migrering till molnet, detta för att förhindra, minska och avhjälpa problem. Vi ställer därför följande fråga: Hur kan tillämpningen av COBIT förebygga och avhjälpa olika problem som kan uppstå då organisationer migrerar till molnet? 1.2 Syfte Vi vill bidra med att belysa problematiken som uppstår mellan organisationen och molntjänstleverantören vid en migrering till molnet. Undersökningen ämnar identifiera och styrka de problemområden som kan uppstå när en organisation migrerar till molnet. Denna undersökning avser att visa inom vilka områden COBIT kan vara vägledande och avhjälpande vid en migrering till molnet, samt hur COBIT kan bidra med en ökad kontroll gentemot tredje part. 1.3 Avgränsningar Att behandla lagar i olika länder är en problematik som förtjänar en egen uppsats, då olika lagar gäller beroende på i vilket land data befinner sig i för stunden. I en molntjänstmiljö kan det vara svårt att förhålla sig till olika lagar då det är tredje part som lagrar och hanterar detta. Det kan även vara så att tredje part har underleverantören som lagrar och hantera data, vilket gör det väldigt svårt att kontrollera var data fysiskt befinner sig. Därför har vi valt att inte behandla lagar som kan ge upphov till problem vid en migrering till molnet i denna undersökning. Avtal är också ett område som inte behandlas i denna undersökning. Det är svårt att bedöma och hantera avtal utan bred juridisk kompetens. Vi anser att problematiken kring avtal är ett område där väldigt många faktorer spelar in, därför har vi valt att behandla detta område i liten omfattning och med ett visst förbehåll. Vi tittar inte på hur molntjänstleverantören förhåller sig i rollen att agera leverantör vid en migrering till molnet. I vår undersökning kommer vi titta på hur organisationen har upplevt och upplever migreringen till molnet, problem är ett nyckelord i vår undersökning. Vi har därför valt att inrikta oss mot COBIT som IT-styrningsramverk eftersom COBIT är ett holistiskt styrsystem, det är generaliserbart och går att anpassa på åtskilliga organisationer. 8

8 2. Litteraturgenomgång I litteraturgenomgången behandlar vi de olika teorierna som berör vår undersökning. Vi behandlar grundläggande karaktärsdrag för molnet, molnlösningsmodeller, molntjänstmodeller och de grundläggande IT-säkerhetskoncepten. Sist behandlar vi COBIT, som är det ramverk vi valt att undersöka. Avsikten är att placera molnet i relation till COBIT. 2.1 Karaktärsdrag för molnet Molnet är en modell för att upprätta konstant tillgänglighet överallt, on-demand nätverksåtkomst till en delad grupp av konfigurerbara datorresurser (t.ex. nätverk, servrar, lagring, program och tjänster) som snabbt kan driftsättas med liten insats från leverantören. Molnet består av fem viktiga egenskaper. Dessa är On-demand self-service, Broad network access, Resource pooling, Rapid elasticity och Measured service. (Mell & Grance, 2011) On-demand self-service On-demand self-service innebär att användare kan beställa och administrera tjänster utan att ha personlig kontakt med personalen hos leverantören. Detta kan ske via en webbportal i kombination med ett administrationsgränssnitt. Etablering och avetablering av tjänster och tillhörande resurser sker automatiskt hos leverantören. Detta kräver en hög grad av automatisering för leverantören.(grobauer et al, 2011) (Mell & Grance, 2011) Broad network access Bred nätverksåtkomst innebär att funktioner bör vara tillgängliga via nätet och nås via standardmekanismer som främjar användning genom tunna eller tjocka klienter (t.ex. mobiltelefoner, bärbara datorer och arbetsstationer). (Grobauer et al, 2011) Resourse pooling Leverantörens datorresurser samlas för att tjäna flera konsumenter, med olika fysiska och virtuella resurser som tilldelas dynamiskt i enlighet med konsumenternas efterfrågan. Kunden har i allmänhet ingen kontroll eller kunskap över den exakta placeringen av de tillhandahållna resurser, men kan eventuellt ha vetskap om lokaliseringen på en övergripande nivå (som till exempel vilket land). Exempel på resurser inkluderar lagring, bearbetning, minne och bandbredd. (Mell & Grance, 2011) Rapid elasticity Resurserna som används kan skalas upp och ner snabbt, antingen enskilt hos varje användare eller hos alla användare samtidigt. För konsumenten verkar funktionerna som finns tillgängliga för anskaffning ofta vara obegränsade och kan disponeras oavsett mängd när som helst. (Mell & Grance, 2011) Measured service Användarnas resursanvändning övervakas och mäts kontinuerligt, vilket tillåter optimering av resursanvändningen. Detta ger insyn för både leverantör och konsument av den utnyttjade tjänsten. (Mell & Grance, 2011) 9

9 2.2 Molnlösningsmodeller Det finns fyra olika typer av molnlösningar inom molntekniken. Dessa är: Public cloud, Private cloud, Hybrid cloud och Community cloud. Det kan vara viktigt för organisationer att förstå skillnaden mellan de olika typerna av molnlösningsmodeller som beskrivs nedan, detta för att skapa en förståelse för vem som har ansvar för vad Public Cloud Publika molntjänster ger användaren möjlighet att ta del av molntjänstleverantörens tjänst, antingen är det gratis eller att man betalar när man använder den. Infrastrukturen ägs av molntjänstleverantören och ger allmänheten möjlighet att använda sig av tjänsten. Användaren har ingen kontroll över större modifikationer utav molntjänsten eftersom all kontroll ligger på molntjänstleverantören. Gmail är ett exempel på en publik molntjänst som är gratis. Gmail är Googles eposttjänst som man får tillgång till genom en webbläsare. (Brunette & Mogull, 2009) (Winkler, 2011) Private Cloud Skillnaden i privata molnlösningar mot publika är att de inte är tillgängligt för allmänheten. De är bara till för en enskild organisation och underhålls enbart av organisationen eller en extern tredje part. En privat molntjänst kan vara placerad externt eller internt, internt hos organisationen eller externt hos molntjänstleverantören.(brunette & Mogull, 2009) Hybrid Cloud En hybrid molnlösning är en kombination av flera olika sorters molnlösningar eftersom man då kan köra en del av tjänsterna i det publika molnet samtidigt som en del körs i det privata. Denna kombination består av två eller fler molnlösningar (public, private eller community).(brunette & Mogull, 2009) Community Cloud Ett gemenskapsmoln är en molnlösning som delar infrastruktur mellan flera organisationer. Oftast delas det mellan organisationer som har liknande krav på olika faktorer så som säkerhet och inriktning på verksamhet. Denna typ av molnlösning kan finnas fysiskt inom organisationen eller externt hos tredje part. Den kan skötas och underhållas av organisationen eller en tredje part. (Brunette & Mogull, 2009) 10

10 Figur 1. Visuell översikt av Molnlösningsmodeller. 2.3 Molntjänstmodeller Molntjänstarkitektur kan kategoriseras in i tre olika molntjänstmodeller; Software as a Service, Plattform as a Service och Infrastructure as a Service. Dessa tre molntjänstmodeller är oberoende av varandra. Software as a Service är inriktad på att leverera mjukvara, Platform as a Service är inriktad på att leverera plattform och Infrastructure as a Service är inriktad på att leverera infrastruktur. (Brunette & Mogull, 2009) Software as a Service (SaaS) Tjänsten som konsumenten får genom att använda SaaS är att leverantören förser konsumenten med applikationer som körs på en molninfrastruktur. Applikationerna är tillgängliga från olika klientenheter genom ett gränssnitt från en tunn klient, så som en webbläsare. Konsumenten hanterar eller kontrollerar inte den underliggande molninfrastrukturen, så som nätverk, servrar, operativsystem och lagring. Konsumenten kan oftast inte reglera individuella applikationers kapacitet. (Brunette & Mogull, 2009) I vissa fall kan det krävas förberedande arbete för att etablera verksamhetsspecifika behov för tjänsten, så att den tänkta tjänsten integreras med andra applikationer som inte är en del av SaaS plattformen. I en SaaS modell köper konsumenten inte mjukvaran, istället hyr man den genom abonnemang eller pay-per-use. I vissa fall kan tjänsten vara gratis. Tjänsten omfattar ofta hårdvara, mjukvara och support. (Mather et al., 2009) SaaS modellen är en arkitekturmodell som kan delas av flera användare, vilket innebär att den fysiska bakomliggande hårdvaran delas mellan många olika kunder, men är logiskt unik för varje kund. Arkitektur som används av flera användare maximerar fördelningen av dataresurser mellan användarna, men det går fortfarande att säkert urskilja vilken data som tillhör varje användare. (Mather et al., 2009) 11

11 2.3.2 Platform as a Service (PaaS) Tjänsten som konsumenten får genom att använda PaaS är att driftsätta sina förvärvade eller egenutvecklade applikationer på molninfrastruktur. Konsumenten hanterar eller kontrollerar inte den underliggande molninfrastrukturen, så som nätverk, servrar, operativsystem och lagring. Konsumenten har kontroll över de applikationer som satts i drift. (Brunette & Mogull, 2009) Mather (2009) menar att det är vanligt att leverantören utvecklar verktyg och standarder för utveckling. Mather menar även att PaaS är en variation av SaaS där utvecklingsmiljön erbjuds som en tjänst. Utvecklarna använder fördefinierade kodblock från leverantörerna för att skapa sina egna applikationer. PaaS lösningar är utvecklingsplattformar där utvecklingsverktyget finns i molnet och är tillgängligt genom en webbläsare. PaaS gör det möjligt för utvecklare att skapa webb-applikationer utan att installera några verktyg på datorn och kan därefter driftsätta dessa applikationer utan några specifika systemadministrationskunskaper. (Mather et al., 2009) Infrastructure as a Service (IaaS) Tjänsten som konsumenten får genom att använda Iaas är att tillhandahålla bearbetning, lagring, nätverk och andra grundläggande datorresurser där konsumenten kan driftsätta och köra valfri mjukvara som kan inkludera operativsystem och applikationer. Konsumenten hanterar och kontrollera inte underliggande molninfrastruktur men har kontroll över operativsystem, lagring, driftsatta program och eventuellt begränsad kontroll av valda nätverkskomponenter som till exempel brandväggar. IaaS modellen tillhandahåller infrastrukturen för att köra applikationer, men molnet gör det även möjligt att erbjuda en "pay-per use" modell och att skala tjänsten beroende på efterfrågan. I en IaaS modell betalar konsumenten endast för till exempel den mängd processorkraft, diskutrymme, som konsumenten förbrukar.(brunette & Mogull, 2009) Från IaaS leverantörens perspektiv kan man bygga upp en infrastruktur som hanterar efterfrågan för kundernas krav och lägga till ny kapacitet när efterfrågan ökar. 2.4 IT-Säkerhetskoncept I detta avsnitt redogör vi för fyra grundläggande principer vad gäller IT-säkerhet. Vi kopplar dessa koncept till dess relevans vid användning av molntjänster. Detta gör vi för att styrka att de är relevanta och även går att applicera på molntjänster Spårbarhet Inom informationssäkerhet är det nödvändigt att säkerställa att data, transaktioner, kommunikation eller handlingar (elektronisk eller fysisk) är äkta. Det är också viktigt för äktheten att validera att inblandade parter är dem de utger sig för att vara. Detta innebär att data ska kunna spåras samt att man då ska kunna fastställa vem som har gjort vad, när och hur. (Winkler, 2011) För att garantera spårbarhet i molnet kan olika IT-protokoll användas, till exempel IPSec. Detta möjliggör att skicka och ta emot kryptografiskt skyddade paket utan att de modifieras. 12

12 IPSec är ett protokoll som förser två typer av kryprografitjänster. Beroende på behovet kan IPSec förse konfidentialitet och spårbarhet, eller endast spårbarhet. (Zissis & Lekkas, 2010) Integritet Integritet innebär att data skyddas mot otillåten eller felaktig ändring, samt skydd mot borttagning av information. Integritet kränks när information aktivt modifieras under transporten. Upprätthållandet av integritet medför även att man säkerställer informationens äkthet. (Winkler, 2011) Integritet i molnet handlar om att en kund till en molntjänstleverantör validerar integriteten av sin data under tiden den finns i molnet, utan att kunden behöver ladda ner och upp denna data. Det finns utmaningar med integriteten i molnet, oftast vet inte kunden på vilken fysisk maskin som data är lagrad eller var detta system är lokaliserat. Dessutom är denna typ av teknik dynamisk och förändras konstant. Dessa ständiga förändringar förhindrar effektiviteten av traditionella tekniker som försäkrar integriteten.(mather et al., 2009) Tillgänglighet Tillgänglighet innebär att kunna säkerställa snabb och tillförlitlig tillgång till information när man är i behov av den. Detta innebär att datorsystem som används för att lagra och bearbeta information, säkerhetsåtgärder som används för att skydda den och de kommunikationskanaler som används för att komma åt den måste fungera korrekt. Brist på tillgänglighet uppstår när det blir ett avbrott i åtkomsten till informationen, eller vid problem med användningen av ett informationssystem. System ska ha som mål att hela tiden ha hög tillgänglighet. Trafikstörningar på grund av strömavbrott, maskinvarufel och systemuppgraderingar ska förebyggas. Försäkra tillgängligheten innebär även att förebygga denial-of-service-attacker. (Winkler, 2011) När det kommer till att säkra tillgängligheten i molnet vad gäller publika molntjänster är det viktigt att tänka på följande: Säkerställa sekretessen och integriteten för organisationens överföring av data till och från den publika molntjänstleverantören. Säkerställa god åtkomstkontroll till de tjänster som används hos den publika molntjänstleverantören. Säkerställa tillgängligheten på internetbaserade tjänster i ett publikt moln som används av organisationen (Winkler, 2011) Sekretess Sekretess är den term som används för att förhindra utlämnandet av information till obehöriga personer eller system. Sekretess innebär att upprätthålla fastställda restriktioner för åtkomst till information och utlämnande av information. Även åtgärder för att skydda den personliga integriteten och patentskyddad information hanteras under denna kategori. Sekretessen upprätthålls inte ifall obehörig har eller kan få tillgång till informationen. (Winkler, 2011) 13

13 När det handlar om sekretesshantering av data som lagras i publika moln finns det två potentiella problemområden. Det första är: Finns det åtkomstkontroll för att skydda data? Åtkomstkontrollen ska bestå av både autentisering och auktorisering (godkännande). Det är vanligt att molntjänstleverantören använder sig av svaga autentiseringsmetoder/mekanismer, till exempel användarnamn och lösenord. Auktoriseringskontrollen för användare tenderar att vara grova. För stora organisationer kan denna grovhet i auktoriseringskontrollen vara ett säkerhetsproblem i sig. (Mather et al., 2009) Det andra problemområdet är: Hur är data som lagras i molnet egentligen skyddad? Skydd av data lagrad i molnet involverar användningen av kryptering. Det är viktigt att organisationen själva hanterar sina krypteringsnycklar. Det anses inte lämpligt att låta molntjänstleverantören hantera dessa krypteringsnycklar åt organisationen. Det kan vara svårt för organisationer att hantera och förvalta sina egna krypteringsnycklar, det är därför ännu svårare för en molntjänstleverantör att förvalta och hantera alla kunders krypteringsnycklar. Det är därför vanligt att en molntjänstleverantör krypterar all kundens data med en enda nyckel. (Mather et al., 2009) Figur 2. Molnet i förhållande till IT-säkerhet. Översikt av sambandet mellan IT-Säkerhetskoncepten, molnlösningsmodell och molntjänstmodell. 14

14 2.5 COBIT Definition COBIT (Control Objectives for Information and related Technology) är ett ramverk som syftar till att överbygga klyftan mellan kraven på kontroll, tekniska frågor, affärsrisker samt att presenterar IT aktiviteter på ett hanterbart och logiskt sätt. COBIT publiceras av Information Systems Audit and Control foundation (ISACA, 2012).(Pathak, 2005) ISACA grundades Idag har ISACA mer än 95,000 medlemmar i 160 länder. Medlemmarna har IT-relaterade positioner så som IT revisor, konsult, utbildare, IS säkerhetsexpert, CIO och intern revisor. ISACA:s medlemmar arbetar i nästan alla olika näringslivsgrenar så som bank och finans, offentlig redovisning, regering och offentliga sektorn samt tillverkning.(isaca, 2007) Enligt Pathak (2005) är en av styrkorna med COBIT att tillhandahålla tydliga riktlinjer till ledningen. Pathak (2005) menar att chefer måste förstå statusen för deras IT-system och bestämma vilken säkerhet och kontroll de ska ge, vilket de kan uppnå genom att använda COBIT. Pathak (2005) menar att detta i praktiken innebär att det kontinuerligt behövs förbättring av IT-säkerhet och kontroll. Genom att följa COBIT:s riktlinjer kan organisationer till exempel jämföra och mäta deras process i förhållande till klienters och organisationens egen strategi, och uppnå en konkurrenskraftig IT-säkerhet och kontroll. (Pathak, 2005) Introduktion COBIT definierar IT-aktiviteter i en generisk processmodell inom fyra områden. De fyra områden är: Plan and Organize, Acquier and Implement, Deliver and Support och Monitor and Evalutate. COBIT-ramverket förser en hänvisande processmodell och ett gemensamt språk för alla i en organisation att se och hantera IT-aktiviteter. Enligt COBIT (2007) är det ett av de viktigaste stegen i god styrning att införliva en operativ modell och ett gemensamt språk för alla delar av organisationen som är involverade i IT. COBIT är även ett ramverk som omfattar mätning och övervakning av IT-prestanda, kommunikation med tjänsteleverantörer och integrering med bästa ledningspraxis. Med en processmodell så som COBIT uppmuntras processägande, vilket gör det möjligt att definiera ansvar och ansvarsskyldigheter. (ISACA, 2007) COBIT har tydligt affärsfokus och är utformat för att inte enbart användas av IT-leverantörer, användare och revisorer, utan även för att förse grundliga anvisningar för ledning och affärsprocessägare. För att organisationer ska upprätthålla den information som verksamheten kräver måste organisationen investera i samt hantera och kontrollera IT-resurser. I COBIT sker detta genom att ett antal strukturerade processer tillhandahåller de tjänster som levererar den önskade verksamhetsinformationen (se figur 3). Affärskriterier driver investeringar i ITresurser. IT-resurser används av IT-processer. IT-processer levererar verksamhetsinformation. Verksamhetsinformationen bemöter affärskriterierna. (ISACA, 2007) 15

15 Figur 3. Grundläggande principer för COBIT. (ISACA, 2007, s.10) För att organisationens affärskriterier för IT ska kunna hanteras av COBIT måste organisationen investera i väsentliga resurser som resulterar i önskade resultat (ISACA, 2007). För en översikt på de IT-resurser som COBIT hanterar (se figur 4). IT-resurserna i COBIT är definierade enligt: Applikationer är de manuella procedurerna och de automatiserade användarsystemen som behandlar informationen. Informationen är data som finns i många olika former. Den är i form av input där den blir behandlad och resulterar i en output. Infrastruktur är den teknologi och utrustning som används. Det kan vara hårdvara, operativsystem och nätverk. Dessa är till för att hantera informationen. Människor är personal som är nödvändiga för att planera, organisera, förvärva, genomföra, leverera, stödja, övervaka och utvärdera informationssystemen och tjänsterna. Människorna är efter behov interna, externa eller kontrakterade. (ISACA, 2007) 16

16 Figur 4. Hantering av IT-resurser för att leverera IT-mål. (ISACA, 2007 s.12) För att få en effektiv IT-styrning är det enligt COBIT viktigt att uppskatta aktiviteterna och riskerna inom IT. COBIT definierar aktiviteterna inom de fyra följande områdena Plan and Organize, Acquire and Implement, Delivery and Support och Monitor and Evaluate. Områdena består i sin tur av totalt 34 underprocesser som i sin tur har totalt 316 aktiviteter. Se figur 5 för de fyra sammankopplade områdena i COBIT. (ISACA, 2007) De fyra områdena i COBIT är: Plan and Organize - ger vägledning om lösning till leverans (Acquire and Implement) och leverans av tjänst (Deliver and Support) Acquire and Implement - ger vägledning om lösningar och skickar dem till att omvandlas till tjänster. Deliver and Support - tar emot lösningarna och gör dem användbara för slutanvändarna. Monitor and Evaluate - övervakar alla processer för att försäkra att den förutsatta riktningen följs. (ISACA, 2007) 17

17 Figur 5. De fyra sammankopplade områdena i COBIT. (ISACA, 2007 s.12) Plan and Organize Denna del behandlar strategi och taktik och avser identifiering av hur IT bäst kan bidra till att uppnå affärsmålen. Förverkligandet av den strategiska visionen bör planeras, kommuniceras och hanteras i förhållande till olika perspektiv. En korrekt organisation samt en teknologisk infrastruktur bör införas. (ISACA, 2007) Acquire and Implement För att förstå IT-strategi måste IT lösningar identifieras, utvecklas eller förvärvas. De måste även implementeras och integreras in i affärsprocessen. Dessutom är förändringar i och underhåll av existerande system inräknade i detta område för att säkerställa att lösningarna fortsätter att möta affärsmålen. (ISACA, 2007) Deliver and Support Leverans och stöd behandlar leverans av tjänster, hantering av säkerhet, support för användare och hantering av uppgifter. (ISACA, 2007) Monitor and Evaluate Detta område behandlar kontroll och att IT-processer måste bedömas regelbundet för att säkra kvalitén för de olika kontrollkraven. Monitor and Evaluate behandlar verksamhetsstyrning, intern kontroll och styrning. (ISACA, 2007) 18

18 2.6 Problematiska områden vid migrering till molnet I detta avsnitt behandlar vi problematiska områden som uppstår vid en migrering till molnet. Dessa problem är kända sedan tidigare. Därefter identifierar vi processer i COBIT som kan knytas till dessa problemområden. De specifika problemen beror på organisationen och dess individuella krav. De gemensamma säkerhetsproblemen i alla organisationer (genom hela spektrat) är att säkerställa sekretess, integritet, spårbarhet och tillgänglighet på de tjänster och den data som levereras i en molnmiljö. (Small, 2007) De viktigaste informationssäkerhetsrelaterade problemen en organisation som migrerar till molnet måste ta ställning till sammanställs nedan. På grund av det breda omfång som omfattar molnet kommer prioriteringen av dessa bero på val av molntjänstmodeller och organisationens individuella omständigheter. (Small, 2007) Val av molntjänstleverantör Efterlevnad av regler och lagar i olika geografiska regioner kan vara en utmaning för organisationer. Det är viktigt att få en ordentlig juridisk rådgivning för att säkerställa att avtalet anger de områden där molntjänstleverantören är ansvarig för konsekvenserna som följer av potentiella problem. Organisationer ska klara av att efterleva strikta globala krav och välja en molntjänstleverantör som kan möta dessa krav och kan styrka att dessa efterlevs. (Ahmed, 2011) Minskad styrning Att använda sig av molnet förutsätter att organisationen ger upp kontrollen över sin ITinfrastruktur. För att detta ska fungera på ett smidigt sätt bör molntjänstleverantören göra hantering och underhåll transparant och kontrollerbar för kunden. Detta omfattar lagring av loggar och administrativa sessioner som påverkar den del av molninfrastrukturen som används av kunden. Dessa uppgifter ska på begäran göras tillgängliga för kunden. (Ahmed, 2011) Kontrakt för tjänst De kontrakt som molntjänstleverantören erbjuder är anpassade så att de ska gynna molntjänstleverantören. De innehåller mindre betungande skyldigheter för leverantören än vad vanliga SLA gör. Det är viktigt att ta upp frågor angående vem som äger informationen och hur svårt det är att få tillbaka informationen vid en förlust av data. (Small, 2011) Datasäkerhet Berörd verksamhetsdata ska identifieras och klassificeras och det ska anges säkerhetskrav för denna data i form av, integritet, tillgänglighet och sekretess. (Small, 2011) Geografisk placering av tjänst Juridiska frågorna relaterade till den geografiska placeringen av molntjänstleverantören, tjänsten och data måste identifieras. Det ska framgå att avtalen behandlar dessa problem. (Small, 2011) 19

19 Tillgänglighet Kraven på tillgänglighet ska identifieras och det ska kontrolleras att leverantören kan uppfylla kraven på tillgänglighet.(small, 2011) Identitet och åtkomsthantering Organisationens krav och behov för åtkomstkontroll och identitetshantering ska definieras. Det ska även säkerhetsställas att dessa krav och behov levereras på ett säkert sätt. (Small, 2011) Missbruk av behörighet Det ska vara säkerhetsställt att molntjänstleverantören har processer och teknik för att på ett korrekt sätt kontrollera den priviligierade åtkomst till data som molntjänstleverantören har. (Small, 2011) (Gregg, 2010) Internethot Bestäm nivån av skydd som behövs mot Internet-baserade hot och försäkra att detta efterföljs av både molntjänstleverantören och internt av organisationen. (Small, 2011) (Gregg, 2010) Övervaka Det ska finnas övervakning av molntjänstleverantören för att se till att molntjänstleverantören överensstämmer med lagar och de verksamhetskrav som kunden har satt upp. Olika kunders data ska även särskiljas. (Small, 2011) Identifierade processer i COBIT I tabell 1 (se sida 24) visar vi en sammanställning av de processer i COBIT som vi har identifierat i förhållande till de problemområden som beskrivs i avsnittet ovan (se avsnitt 2.6). Alla processer i COBIT som är identifierade och som presenteras i detta avsnitt går att koppla till de problemområden som finns enligt Small och Ahmed. Detta gör vi för att styrka vårt val av processer i COBIT samt för att visa att hela COBIT-ramverket inte är relevant vid en migrering till molnet. Enligt Björngren, Gullberg, Karlsson, Kvarnryd & Mattson (2012) kan dessa processer i COBIT påverka IT-säkerhetskoncepten om de inte efterlevs COBIT-Processerna PO2 Define the Information Architecture Denna process behandlar användandet av ett dataklassificeringsschema för organisationen och användandet utav syntaxregler för data i systemen. Denna process förbättrar beslutsfattandets kvalité genom att förstärka att trovärdig och säker information tillhandahålls. Denna IT-process är viktig för att öka ansvar för integritet och säkerhet av data och för att öka effektiviteten och kontrollen av att dela information mellan applikationer och enheter. Organisationen ska även fastställ och implementera procedurer för att säkerställa integriteten av all data som lagras i elektronisk form, till exempel i databaser, datalager och dataarkiv. (ISACA, 2007) 20

20 PO9 Assess and Manage IT Risks Denna process innebär att bedöma och hantera IT-risker. Ett ramverk för hantering av risker ska etableras i organisationen. Ramverket ska dokumentera en allmän och överenskommen nivå av IT-risker och strategier för riskminskning. Organisationen ska identifiera, analysera och utvärdera oplanerade händelser. Riskreducerande strategier antas för att minimera kvarstående risker till en godtagbar nivå. Organisationen ska på återkommande basis bedöma sannolikheten för, och effekten av, alla identifierade risker med hjälp av kvalitativa och kvantitativa metoder. Sannolikheten för och konsekvenserna i samband med inre och kvarvarande risker bör fastställas individuellt efter kategori. (ISACA, 2007) AI2 Acquire and Maintain Application Software Processen behandlar organisationens behov av att göra applikationer tillgängliga i förhållande till verksamhetskriterierna. Det innefattar design, säkerhetskrav, applikationskontroller och anpassning till standarder. Detta möjliggör att de automatiserade applikationerna stödjer affärsverksamheten. Detta ska ligga i linje med organisationens dataklassificeringsschema, informationsarkitektur, informationssäkerhet och risktolerans. (ISACA, 2007) AI5 Procure IT Resources Denna process behandlar upphandlingen av IT-resurser. Detta inkluderar hårdvara, mjukvara, tjänster och människor. Organisationen ska definiera och tillämpa procedurer för upphandlingarna av val av leverantörer och avtal. Detta för att se till att organisationen har alla de nödvändiga IT-resurser som krävs. (ISACA, 2007) Processen innebär även att organisationen ska skapa en procedur för att etablera, modifiera och avsluta kontrakt för alla leverantörer. Den här proceduren bör innefatta legala-, finansiella-, organisatoriska-, dokumentations-, prestanda-, säkerhets- och immateriella rättigheter. Även uppsägningsansvar och ansvarsförbindelser bör finnas. Alla ändringar i kontrakt/avtal bör granskas av juridiska rådgivare. (ISACA, 2007) Val av leverantör bör ske enligt en rättvis och formell praxis för att säkerställa att leverantören som väljs passar bäst baserat på organisationens specifika krav. Krav bör optimeras med input från potentiella leverantörer.( ISACA, 2007) AI7 Install and Accredit Solutions and Changes Efter att utvecklingen och den fullständiga testningen är klar ska de nya systemen sättas i drift. För att driften ska fungera gäller det att det finns en plan för hur systemen ska appliceras i organisationen. Detta görs för att se till att systemen stämmer överens med de förväntade resultaten. (ISACA, 2007) Organisationen ska förse de anställda med utbildning av de nya systemen. Processen behandlar behovet av att organisationen ska tillhandahålla en strategi för att avsluta eller backa ur tjänsten om det skulle bli aktuellt. Strategin ska genomföras med godkännande av berörda parter. Processen behandlar behovet av att ha en plan för datakonvertering och infrastrukturens migrering. Det ska innefatta återställnings- och reservplaner. Det är viktigt att genomföra ett 21

21 slutligt test av systemen för att förhindra och åtgärda problem som upptäcks i testprocessen. (ISACA, 2007) DS1 Define and Manage Service Levels Processen behandlar tillgodogörandet av anpassning mellan IT-tjänster och de relaterade verksamhetskrav. Det ska finnas Service Level Agreements (SLA) vilka definierar vad som ska omfattas, såsom kundens åtaganden och support. I SLA ska det finnas definierat vad som kommer att vara kundens åtaganden samt olika typer av mått som kommer att användas för att mäta tjänsten. Det är lämpligt att det definieras krav på tillgänglighet och prestanda.( ISACA, 2007) DS2 Manage Third-party Services I DS2 behandlas behovet av att säkerhetsställa att tredje part kan tillhandahålla tjänsterna. Detta ska ligga i linje med verksamhetens kriterier. Att säkerhetsställa tredje part innebär att definiera ansvar, förväntningar av avtal och roller. Det ska även ske en övervakning av avtalen för att se till att effektivitet efterföljs. Effektiv hanteringen av tredje part ser till att risker minimeras i förhållande till osäkra leverantörer. Det är viktigt att identifiera och minska riskerna relaterade till leverantörens förmåga att effektivt fortsätta leverera en tjänst på ett säkert och effektivt sätt på en kontinuerlig basis. (ISACA, 2007) Den här processen behandlar formaliseringen av processen för hanteringen av leverantörsförhållanden för varje leverantör. De inblandade parterna bör samarbeta angående kund- och leverantörsfrågor och kvalitén säkerställs genom att relationen bygger på förtroende och öppenhet, till exempel genom SLA. (ISACA, 2007) DS3 Manage Performance and Capacity Processen behandlar behovet av att se över och hantera prestanda och kapaciteten för de olika IT-resurserna. En prognos för framtiden ska upprättas för att utvärdera behovet av IT utifrån dagens behov och belastning på IT-resurserna. Detta ska göras för att säkerhetsställa att systemen är tillgängliga. (ISACA, 2007) Det ska finnas bestämmelser så som prioritering av uppgifter, feltoleransmekanismer och praxis för resurstilldelning ska klargöras. Ledningen bör se till så att beredskapsplaner behandlar tillgänglighet, kapacitet och prestanda för individuella IT-resurser. (ISACA, 2007) DS4 Ensure Continuous Service I processen behandlas behovet av att genomföra återkommande underhåll och testning av olika IT-scenarier. Testningen innebär att kontrollera att backuper som sker på systemen fungerar. Genomförandet av detta innebär att sannolikheten för IT-avbrott på viktiga affärsfunktioner och processer minskar. Det ska fastställas vilken data som ska finnas med i backupen. Det ska ske kontroller där säkerheten hos leverantören utvärderas. Det ska säkerhetsställas att hårdvara och mjukvara är kompatibelt med arkiverad data. Den arkiverade datan ska testas och uppdateras. (ISACA, 2007) 22

22 DS5 Ensure Systems Security I DS5 beskrivs behovet av se till att integriteten upprätthålls och att IT-tillgångar skyddas. Detta kräver att det finns en process för säkerhetshantering. Denna process innebär att etablera och underhålla de olika rollerna och ansvarsområdena för IT-säkerhet. En säkerhetshantering ska genomföras återkommande för att åtgärda och identifiera svagheter i säkerheten. Genom att använda sig av en effektiv säkerhetshantering så skyddas organisationens IT-tillgångar och minimerar konsekvenserna vid ett eventuellt säkerhetsproblem. (ISACA, 2007) Processen innebär att alla användare och deras aktiviteter i ett IT-system ska vara unikt identifierbara. Användaridentifieringen ska aktiveras via autentiseringsmekanismer. Kontroll av användarens åtkomstsrättigheter till system och data ska ske i förhållande till affärsbehov. (ISACA, 2007) DS11 Manage Data Denna process innebär att datahantering krävs för att identifiera informationskraven. I datahanteringen ska metoder för hantering av backup och återställning av data finnas. En effektiv hantering av data hjälper till att se till att kvalitén och tillgängligheten på data är säkerhetsställd. (ISACA, 2007) Processen innebär att införa procedurer för hur känslig data ska hanteras när information raderas eller hårdvara avverkas eller förflyttas. Om inte rätt tillvägagångssätt för radering av känslig data, alternativt vid avverkning eller förflyttning av hårdvara existerar, riskerar organisationen att informationen hamnar i obehöriga händer. Procedurer för säkerhetskopiering och återställning av system, applikationer och data ska finnas i enlighet med verksamhetens krav. (ISACA, 2007) DS13 Manage Operations DS13 processen behandlar kravet på att det ska finnas procedurer för övervakning av ITinfrastrukturen och relaterade händelser. Händelserna ska sparas i loggar för att användas vid en utvärdering och rekonstruktion av händelsen och händelserna runt den. Finns det en effektiv verksamhetshantering hjälper det till att bibehålla dataintegritet och det ser även till att reducera driftkostnader för IT. (ISACA, 2007) ME2 Monitor and Evaluate Internal Control Processen innebär att övervakning ska vara återkommande och förbättrande. IT-kontrollen och kontrollramverket ska jämföras för att nå upp till organisationens mål. Det ska även ske bedömningar hos tredje part för att se till att deras interna kontroll fungerar. Kontrollen sker för att se till att tredje part följer lagar och avtal. (ISACA, 2007) ME4 Provide IT Governance Processen avser vikten av att etablera ett ramverk för styrning som innehåller organisationens struktur, processer, ledarskap, roller och ansvarsområden. Detta görs för att se till att investeringarna inom IT är levererade och i linje i förhållande till organisationens strategier och mål. Ramverket ska förhålla sig till organisationens mål och strategier, det ska även fungera i enlighet med lagar. (ISACA, 2007) 23

23 Tabell 1. Problem kopplade till processer i COBIT Problem/Process PO2 PO9 AI2 AI5 AI7 DS1 DS2 DS3 DS4 DS5 DS11 DS13 ME2 ME4 Val av molntjänstleverantör Minskad styrning Kontrakt för tjänst X X X Datasäkerhet X X X Geografisk placering av tjänst Tillgänglighet X X X X Identitet och åtkomsthantering Missbruk av behörighet X X Internethot X X Övervaka X Tabellen visar vanliga problematiska områden vid migrering till molnet och processer i COBIT. De olika problemen har kopplats till den eller de processer i COBIT som är relevant för respektive problemområde. 2.7 Motivering för COBIT I detta avsnitt vill vi styrka varför vi har valt COBIT som ramverk för vår undersökning. COBITS styrka ligger i dess fokus på IT-hantering, kontroll och bredd. COBIT hjälper dessutom ledningen att förstå vad det är de behöver göra för att säkerställa att investeringar i deras IT maximeras kring affärsnytta, inte utsättas för oacceptabla risker samt följer nödvändiga krav. COBIT förklarar dock inte hur detta ska genomföras, utan bara vad som ska genomföras. (Symons, C. Orlov, L. M. Brown, K. & Bright, S. 2006) COBIT provides managers, auditors, and IT users with a set of generally accepted measures, indicators, processes and best practices to assist them in maximizing the benefits derived through the use of information technology and developing appropriate IT governance and control in a company. (Sahibudin, S. Sharifi, M. & Ayat, M. 2008, s.751) X X X X 24

24 3. Metod 3.1 Angreppssätt Vi genomförde tre intervjuer. Två av dem genomfördes via telefon och en genomfördes ansikte mot ansikte. En fjärde informant ville endast delta i undersökningen och svara på våra frågor om detta kunde ske skriftligt via mail. Enligt Jacobsen (2002) så finns det fyra olika typer av metoder för datainsamling; den individuella öppna intervjun, gruppintervjun, observation och dokumentundersökning. Eftersom vi bara intervjuade ett fåtal informanter så menar Jacobsen (2002) att det är bäst att genomföra individuella intervjuer. Våra intervjuer utformades efter givet tema, fast ordningsföljd och öppna svar. Vi valde att genomföra de undersökningarna som var via telefon och ansikte mot ansikte som semistrukturerade intervjuer eftersom det gav oss möjligheten att styra frågorna men ändå ge informanterna utrymme att svara öppet. Den intervjun som var utskickad var formulerad på samma sätt som de övriga men det var fortfarande fritt för informanten att svara som denne ville men det gav oss inga möjligheter att ställa följdfrågor på svaren eller för informanten att ställa motfrågor. Under vår intervju valde vi att inte ha några fasta svarsalternativ eftersom det enligt Jacobsen (2002) är en sådan strukturering ett slags slutning av datainsamlingen vilket inte motsvarar en kvalitativ metod. 3.2 Intervjudel Vi har valt att inhämta det empiriska materialet från ett antal kvalitativa intervjuer för att på så sätt få utförliga svar. Vi har valt att genomföra individuella öppna intervjuer med företagens mest kompetenta personal inom området, som till exempel IT-chefen eller IT-ansvarig. Detta tillvägagångssätt har vi valt eftersom det ger möjlighet att ställa följdfrågor och på så sätt utveckla svaren från informanterna i de fallen när vi inte gjorde en dokumentundersökning. Jacobsen (2002) anser att det är olämpligt att genomföra telefonintervju vid genomförandet av öppna personliga intervjuer. Jacobsen (2002) menar att det är lättare att ej tala sanning i en telefonintervju. Vi anser att telefonintervjuerna har gett oss möjligheten att inte vara geografiskt begränsad vilket gav oss möjligheten att intervjua relevanta informanter som kunde bidra med kvalitativa svar. Vi har intervjuat tre olika personer på två olika organisationer via telefon. Vi har genomfört en intervju ansikte mot ansikte på en av organisationerna. Enligt Jacobsen (2002) tycks personer ha lättare att prata om känsliga ämnen i intervjuer ansikte mot ansikte än i telefon. Vi anser inte att det har varit någon skillnad i kvalitén mellan intervjuer som genomfördes ansikte mot ansikte och de som vi genomförde via telefon. Svaren som vi fick skriftligt via mail från en organisation anser vi också vara av hög kvalité, då de gav oss utförliga och precisa svar. 25

25 3.2.1 Urvalskriterier för organisationer Vi har valt organisationer utifrån följande kriterier: Utförd migrering De ska ha en molntjänstleverantör Urval av informanter När vi skulle välja informanter ansåg vi att det var av stor vikt att personen i fråga hade bred kompetens inom området för vår undersökning och våra intervjufrågor. För att vara säkra på att få tala med rätt personer i organisationen bad vi att få tala med organisationens Chief information officer (CIO) vid den första kontakten. I tre av intervjufallen så var det CIO:n som ställde upp på intervju med oss. I ett fall hänvisade CIO:n till en person med specifik kompetens på området. När vi hade fått tag i rätt personer som var villiga att ställa upp på intervju, skickade vi frågorna till dem ett antal dagar innan vi utförde intervjun så att de kunde förbereda sig. I ett av fallen när vi intervjuade en CIO var även en IT-projektledare delaktig Design av intervjuguide Intervjuguiden (se bilaga 5) som vi har baserat våra intervjuer på består av fem områden bestående av totalt 22 frågor samt med några följdfrågor. Vi gjorde denna indelning för att på så sätt kunna avgränsa och ge struktur i intervjun. Våra intervjuer varade mellan 45 minuter och lite över en timme. Det är olämpligt enligt Jacobsen (2002) att ha intervjuer som är längre än en och en halv timme. Vi hade lagt upp strukturen så att intervjun började med övergripande frågor för att sedan gå in på mer avancerade frågor. Vi delade in intervjun i följande områden: Inledande frågor Molnspecifika frågor Migreringsfrågor Driftsfrågor Reflekterande frågor Styrningsfrågor Intervjufrågor Inledande De inledande intervjufrågorna började med att vi skulle få den intervjuade att känna sig bekväm i situationen. Därför är frågorna av sådan art att den intervjuade kan prata fritt om de delar han eller hon känner sig trygg i. De inledande frågorna i sig har ingen avgörande roll i vår intervju, utan ses som frågor för att skapa förtroende och dialog mellan den intervjuade och vi som intervjuar. Vi ställer även frågor för att styrka att den vi intervjuar är kompetent att svara på de frågor som intervjun handlar om. Vi som intervjuar kan ställa följdfrågor om det är något som är oklart eller om vi vill ha ytterligare bevisning för att den intervjuade är kompetent att svara på frågorna som följer. 26

26 Molnet Dessa frågor är av den karaktären att det ger en övergripande bild över området och ger oss en förståelse för deras syn på området. Vi frågar även varför organisationen har valt att använda sig av molnet. Detta gör vi för att styrka att de relaterar till de karaktärsdrag som molnet har, dessa behandlar vi under rubriken 2.1 Karaktärsdrag för molnet. Vi vill även ta reda på hur en organisation förhåller sig till begreppet molnet och vilka tjänster de använder sig av i molnet. De olika molntjänststandarderna behandlar vi under 2.3 Molntjänstlösningar. Vi frågar även hur den intervjuade ser på säkerhet i molnet i förhållande till att använda icke molntjänster. Vi frågar även om de ser specifika risker med att använda molnet. Dessa frågor ställer vi för att styrka att de IT-säkerhetskoncepts som vi behandlar under rubriken 2.4 ITsäkerhetskoncept är relevanta och av betydelse. Migrering Med dessa frågor vill vi få den intervjuade att utförligt beskriva hur de har förhållit sig till informationssäkerhet och olika ramverk och de delar som användes innan och under de valde att byta IT-miljö. Vissa frågor i denna del är specifik och förutsätter att den intervjuade är insatt i och har förståelse för hur organisationen arbetar med ramverk. Vi är medvetna om att det kan vara svårt att svara på då ramverk inte har använts eller om de bara har haft en stödjande roll. Vi vill undersöka om organisationer arbetar utifrån ramverk och vilken betydelse det i så fall har haft vid en migrering. Vi frågar även om organisationen haft problem vid migreringen, detta gör vi för att påvisa ramverks betydelse vid IT-styrning. Drift Den här delen behandlar tiden efter en migrering, hur organisationen arbetar med uppföljning och kontroll löpande. Vi vill undersöka om det finns något informationsutbyte mellan organisationen i sig och molntjänstleverantören vad gäller ramverk och i så fall om ramverket anpassas till den nya IT-miljön. Reflekterande Vi vill undersöka om organisationen gått tillväga på samma sätt idag om det hade varit aktuellt att migrera andra IT-enheter till molnet. Vi anser detta vara viktigt för att påvisa om några av de delar i COBIT ramverket som vi har identifierat som kritiska vid en migrering till molnet, skulle vara aktuella (se avsnittet 2.5 COBIT). Vi undersöker även om organisationen anser att det varit värt att genomföra en migrering, baserat på den information och de erfarenheter som de har skaffat sig. Detta gör vi för att påvisa om molntjänster i sin helhet överträffar de eventuella risker som den medför. Styrning Detta område är direkt relaterat till de processer i COBIT som vi har identifierat som kritiska vid en migrering (se avsnittet 2.5 COBIT). Många av frågorna i denna del förutsätter att informanterna varit med om en migrering. Frågorna är av Ja eller Nej karaktären vilket gör att informanten kan svara kortfattat och inte behöver utveckla sitt resonemang. 27

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster. http://cloudsweden.se

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster. http://cloudsweden.se Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster Cloud Sweden Oberoende kompetensnätverk Analys & Konsultbolag Leverantörer Kunder Dataföreningen Startat i mars 2010 Predrag

Läs mer

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet Migration to the cloud: roadmap PART 1: Möjligheter och hinder för att migrera till molnet PART 1 ÖVERSIKT 1. Varför migrera till molnet? 2. Möjligheter med migrering till molnet 3. Hinder för att migrera

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Framgångsfaktorer i molnet!

Framgångsfaktorer i molnet! Framgångsfaktorer i molnet! Inledning samt presentation av panelen, Cloud Sweden och molntjänster Affärs-/verksamhetsnytta Juridik Säkerhet Infrastruktur Enstaka frågor kommer att besvaras Sammanfattning

Läs mer

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt...

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt... Produktblad för NAV i molnet Innehåll Vad är molnet?... 2 Vad är NAV i molnet?... 3 Vem passar NAV i molnet för?... 4 Fördelar med NAV i molnet... 5 Kom igång snabbt... 5 Bli kostnadseffektiv... 5 Enkelt

Läs mer

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS? Molntjänster Molntjänster Molntjänster, vad är det egentligen? Molntjänst (Cloud Computing, Cloud Service) Program (PaaS, Software as a Service) Plattform (PaaS, Platform as a Service) Infrastruktur (IaaS,

Läs mer

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster... 1 2 Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster... 9 Definition av molntjänster (forts.)... 11 Tjänster... 12 Skikt

Läs mer

Molntjänster -- vad är molnet?

Molntjänster -- vad är molnet? En e-bok från Visma Spcs Molntjänster -- vad är molnet? Vad du bör tänka på för att göra rätt val till ditt företag Molntjänster -- vad är molnet? En guide till att förstå molntjänster Innehåll Hänger

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Caperio CloudSystem NICE TO MEET YOU. Komplett molntjänst för etablering av infrastruktur och applikationer

Caperio CloudSystem NICE TO MEET YOU. Komplett molntjänst för etablering av infrastruktur och applikationer Caperio CloudSystem Komplett molntjänst för etablering av infrastruktur och applikationer Många organisationer står inför utmaningar med att investera i egna IT-miljöer eller köpa/konsumera tjänster som

Läs mer

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte

Läs mer

Minnesisolering för virtuella maskiner en hypervisorstudie

Minnesisolering för virtuella maskiner en hypervisorstudie 1.Introduktion 1.1 Inledning Den senaste trenden inom IT-världen är cloud computing (molntjänster). Molntjänster har uppnått stor popularitet både hos IT-chefer och ekonomichefer inom stora företag. Molntjänster

Läs mer

Vilket moln passar dig bäst?

Vilket moln passar dig bäst? Vilket moln passar dig bäst? Idag diskuteras ofta huruvida man ska kliva in i molnets underbara värld eller inte, men sällan om skillnaderna mellan olika moln och vilka tillämpningar som är lämpliga att

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Utmaningar vid molnupphandlingar

Utmaningar vid molnupphandlingar Utmaningar vid molnupphandlingar Inger Gran Grundare av Cloud Sweden och Kompetens@rkitekt En skeptisk och entusiastisk it-användare redan på 70-talet Kopplade upp mig på internet 1993 sedan aldrig frånkopplad

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Säkerhet i molnet krav och standarder

Säkerhet i molnet krav och standarder Martin Bergling - IBM Säkerhet i molnet krav och standarder SILF 110609 100 år Cloud Computing 2 Agenda Vad är molnet? Standarder Moln Revision Ledningssystem Säkerhetskrav Referenser 3 Bakgrund Trenden

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 07-05-24 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 Publicerad Beslutsfattare

Läs mer

Vår flexibla lösning för för Intelligent Workload Management

Vår flexibla lösning för för Intelligent Workload Management Vår flexibla lösning för för Intelligent Workload Management marknaden 1 It-landskapet håller på att förändras Riskerna och utmaningarna med datahantering i och mellan olika miljöer måste kontrolleras.

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 11-09-14 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 ( rev. September

Läs mer

HUR MAN LYCKAS MED BYOD

HUR MAN LYCKAS MED BYOD HUR MAN LYCKAS MED BYOD WHITE PAPER Innehållsförteckning Inledning... 3 BYOD Checklista... 4 1. Val av system... 4 2. Installation och konfiguration... 5 3. Prestanda... 5 4. Valfrihet ökar upplevelsen...

Läs mer

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar 19 november 2012 - Erica Wiking Häger och Mikael Moreira Innehåll 1. Vad är molntjänster? 2. Legala utmaningar 3. EU:s förslag

Läs mer

Molnet ett laglöst land?

Molnet ett laglöst land? Molnet ett laglöst land? 31 januari 2012 Pernilla Borg, CISA Magnus Ahlberg Om Ernst & Young IT Risk and Assurance Inom IT Risk and Assurance hjälper vi organisationer att hantera IT-risker på ett sätt

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

JHS 179 Planering och utveckling av en övergripande arkitektur Bilaga 9. Virtualisering och molntjänster i planering av teknologiarkitektur

JHS 179 Planering och utveckling av en övergripande arkitektur Bilaga 9. Virtualisering och molntjänster i planering av teknologiarkitektur JHS 179 Planering och utveckling av en övergripande arkitektur Bilaga 9. Virtualisering och molntjänster i planering av teknologiarkitektur Version: 2.0 Publicerad: 7.2.2017 Giltighetstid: tills vidare

Läs mer

Plattform as a Service, leverantör tillhandahåller plattformen, jag tillhandahåller applikation och ansvarar för denna.

Plattform as a Service, leverantör tillhandahåller plattformen, jag tillhandahåller applikation och ansvarar för denna. Modul 1: Molntjänst Publikt moln Privat moln Hybrid moln IaaS PaaS SaaS DaaS DaaS SLA Infrastructure as a Service, leverantör tillhandahåller infrastrukturen, jag tillhandahåller virtuella maskiner eller

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Service Level Agreement mall för kommunalt IT-stöd

Service Level Agreement mall för kommunalt IT-stöd Service Level Agreement mall för kommunalt IT-stöd v1.0-2010-11-02 Kim Weyns & Martin Höst Institutionen för Datavetenskap, Lunds Universitet Box 118, S-221 00 Lund kim.weyns@cs.lth.se Inledning Ett Service

Läs mer

Processinriktning i ISO 9001:2015

Processinriktning i ISO 9001:2015 Processinriktning i ISO 9001:2015 Syftet med detta dokument Syftet med detta dokument är att förklara processinriktning i ISO 9001:2015. Processinriktning kan tillämpas på alla organisationer och alla

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management Risk, security, and legal analysis for migration to cloud PART 3: Privacy and security management Cloud Computing Cloud computing har visat sig vara en framgångsrik paradigm som till stor del förenklar

Läs mer

Risk, säkerhet och rättslig analys för migrering till molnet. PART 4: Skydd, rättigheter och juridiska skyldigheter

Risk, säkerhet och rättslig analys för migrering till molnet. PART 4: Skydd, rättigheter och juridiska skyldigheter Risk, säkerhet och rättslig analys för migrering till molnet PART 4: Skydd, rättigheter och juridiska skyldigheter PART 4 ÖVERSIKT 1. Specifikation av det internationella sammanhanget 2. Mot skyddsavtal

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

När du deltar i en panelundersökning som vårt företag utför kan du känna dig säker på att eventuell personlig information stannar hos oss.

När du deltar i en panelundersökning som vårt företag utför kan du känna dig säker på att eventuell personlig information stannar hos oss. VISION CRITICAL COMMUNICATIONS INC. FÖRETAGETS INTEGRITETSPOLICY ÖVERSIKT Här hos Vision Critical Communications Inc. ("VCCI") är respekt för integriteten en viktig del av vårt åtagande gentemot klienter,

Läs mer

Visionen om en Tjänstekatalog

Visionen om en Tjänstekatalog Visionen om en Tjänstekatalog Varför ska vi införa tjänster? Copyright BiTA Service Management/Rolf Norrman 1 IT:s värde för verksamheten tydliggörs i verksamhetens egna termer Organisationens kundfokus

Läs mer

Rätt säkerhet Outsourcing

Rätt säkerhet Outsourcing Rätt säkerhet 2015-05-27 - Outsourcing Plan del 1 27036-Outsourcing Varför finns standarden Vad karaktäriserar outsourcing och leverantörsrelationer? Struktur på standarden Skillnader del 2/3/4 Hur kan

Läs mer

https://www.youtube.com/watch?v=l5qjs6by oai&cm_mc_uid= &cm_mc_sid_ =

https://www.youtube.com/watch?v=l5qjs6by oai&cm_mc_uid= &cm_mc_sid_ = https://www.youtube.com/watch?v=l5qjs6by oai&cm_mc_uid=72363433746714646902275 &cm_mc_sid_50200000=1464690227 NIST;s (National Institute of Standards and Technology) definition av molntjänster. Cloud

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

CIO-barometern 2014. En undersökning bland CIO:er och IT-chefer i Sverige kring IT-infrastruktur. Om CIO-barometern

CIO-barometern 2014. En undersökning bland CIO:er och IT-chefer i Sverige kring IT-infrastruktur. Om CIO-barometern CIO-barometern 2014 CIO-barometern 2014 En undersökning bland CIO:er och IT-chefer i Sverige kring IT-infrastruktur Om CIO-barometern CIO-barometern är en årligen återkommande undersökning som genomförs

Läs mer

INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR

INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR Ämnet informationsteknisk arkitektur och infrastruktur behandlar de grundläggande processerna, komponenterna och gränssnitten i ett sammanhängande informationstekniskt

Läs mer

Tjänstefiera din IT. - Vi har beslutat oss för att flytta vår IT till molnet. - Vilka tjänster passar våra behov och vår budget?

Tjänstefiera din IT. - Vi har beslutat oss för att flytta vår IT till molnet. - Vilka tjänster passar våra behov och vår budget? FEBRUARI 2017 Tjänstefiera din IT. - Vi har beslutat oss för att flytta vår IT till molnet. - Vilka tjänster passar våra behov och vår budget? 13/02/2017 Andrea Moroni AGENDA Agenda 1. Tjänsteutbud - Mervärdesfaktorer

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Använd molntjänster på rätt sätt

Använd molntjänster på rätt sätt 2013-02-13 E-samhället i praktiken Använd molntjänster på rätt sätt Molntjänster kan spara pengar och göra information mer tillgänglig för kommuner och landsting. Den viktigaste bedömningen vid val av

Läs mer

SNITS-Lunch. Säkerhet & webb 2013-10-08

SNITS-Lunch. Säkerhet & webb 2013-10-08 SNITS-Lunch Säkerhet & webb 2013-10-08 Kort om ÅF ÅF i Karlstad idag! Vi är ca 150 varav 50 inom IT Automation Elkraft Mekanik Industriell IT Process och miljö IT och telekom Energi Industri Automotive

Läs mer

Daniel Akenine, Teknikchef, Microsoft Sverige

Daniel Akenine, Teknikchef, Microsoft Sverige Daniel Akenine, Teknikchef, Microsoft Sverige Quincy Invånare: 5,300 Arbete: 52% jordbruk 18 % byggsektor 18 % offentlig sektor Språk: Spanska 57% Företaget Inköp Företaget Inköp Installering Lång

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område, Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område, det må vara personal, miljö, eller informationssäkerhet.

Läs mer

Introduktion till migrering till molnet

Introduktion till migrering till molnet Introduktion till migrering till molnet Part 2 ÖVERSIKT 1. Fördelar 2. Beslutsfattande 3. Molnarkitektur 1. FÖRDELAR FÖRDELAR FÖR OFFENTLIG VERKSAMHET Minskning av kostnader relaterade till användandet/användarna

Läs mer

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18 IT-Policy för Tanums kommun ver 1.0 Antagen av Kommunfullmäktige 2013-03-18 1 Inledning Tanums kommuns övergripande styrdokument inom IT-området är IT-Policy för Tanums kommun. Policyn anger kommunens

Läs mer

IT-Policy Vuxenutbildningen

IT-Policy Vuxenutbildningen IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får

Läs mer

Nå fler kunder och utöka ditt IT-tjänsteutbud med HPE och Ingram Micro

Nå fler kunder och utöka ditt IT-tjänsteutbud med HPE och Ingram Micro Nå fler kunder och utöka ditt IT-tjänsteutbud med HPE och Ingram Micro Framtiden är redan här. Är den hos dig? Många av de snabbast växande IT-företagen är någon form av Service provider. Som Service provider

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations Mats Ohlson Informationssäkerhet = Information security Informationssäkerhet the preservation

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2014/1308 Riktlinjer för informationssäkerhet Säkerhetskopiering och loggning Fastställda av Säkerhetschefen 2014-11-25 Rev. 2015-03-16 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad

Läs mer

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy. Linköpings kommun Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

VERVA. Fujitsu Services Kenneth Landérus F

VERVA. Fujitsu Services Kenneth Landérus F VERVA Fujitsu Services Kenneth Landérus F Fujitsu Services 2008 Fujitsus erbjudande produkter Volymlicensiering på 40 programtillverkares produkter 2 Fujitsu Services 2008 2008-01-28 Verva Programvaror

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

IT-policy inom Stockholms läns landsting

IT-policy inom Stockholms läns landsting LS 1109-1224 IT-policy inom Stockholms läns landsting 2011-10-18 Beslutad av landstingsfullmäktige 2012-03-20 2 (8) Innehållsförteckning Innehåll Syfte...3 Omfattning...3 Intressenter...3 Medborgarna...

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer

Hot eller möjlighet? Datormolnet och SMHI. Lisa Hammar, IT-arkivarie, SMHI. Mallversion 1.0 2009-09-23

Hot eller möjlighet? Datormolnet och SMHI. Lisa Hammar, IT-arkivarie, SMHI. Mallversion 1.0 2009-09-23 Hot eller möjlighet? Datormolnet och SMHI Lisa Hammar, IT-arkivarie, SMHI Mallversion 1.0 2009-09-23 Datormolnet och SMHI Hösten 2009 - en teknisk utredning om molntjänster Under vintern 2009/2010 - ett

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2014/1308 Riktlinjer för informationssäkerhet Säkerhetskopiering och loggning Fastställda av Säkerhetschef 2014-11-25 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering

Läs mer

BLI EN CLOUDPILOT I ONE LÖSNINGAR FÖR FÖRETAGARE LYFT DIN IT STRATEGI TILL MOLNEN FÖRSTÅ CLOUD COMPUTING ARBETA SMARTARE 2011 NUMMER 15

BLI EN CLOUDPILOT I ONE LÖSNINGAR FÖR FÖRETAGARE LYFT DIN IT STRATEGI TILL MOLNEN FÖRSTÅ CLOUD COMPUTING ARBETA SMARTARE 2011 NUMMER 15 2011 NUMMER 15 LÖSNINGAR FÖR FÖRETAGARE I ONE LYFT DIN IT STRATEGI TILL MOLNEN Dra nytta av allt som Cloud Computingen kan erbjuda dig FÖRSTÅ CLOUD COMPUTING Kostnadseffektiva, smidiga lösningar ARBETA

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

SKOLFS. beslutade den -- maj 2015.

SKOLFS. beslutade den -- maj 2015. Skolverkets föreskrifter om ämnesplan för ämnet informationsteknisk arkitektur och infrastruktur inom vidareutbildning i form av ett fjärde tekniskt år; beslutade den -- maj 2015. Skolverket föreskriver

Läs mer

Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist

Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist Säkerhet 2.0 Ta en titt in i framtiden Per Hellqvist Senior Security Specialist Symantecs vision Confidence in the Connected World Säkra och hantera din informationsdrivna värld över fysiska, virtuella

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

IT-Säkerhetsinstruktion: Förvaltning

IT-Säkerhetsinstruktion: Förvaltning n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544 Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet trender och utmaningar Rätt Säkerhet 2013 Tobias Hermansson och Sara Löfving Vår globala informationssäkerhetsundersökning För 15:e året i följd har Ernst & Youngs genomfört sin globala

Läs mer

Economicmodelimpactand cloud management. PART 2: Business model enactment

Economicmodelimpactand cloud management. PART 2: Business model enactment Economicmodelimpactand cloud management PART 2: Business model enactment 1. BUSINESS MODEL S CHARACTERISTICS Attbyggaen affärsmodell Utvärdera värdet För kunden och för leverantör För att definiera potentiellt

Läs mer

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt Kravhantering / Testprocess - Agenda AGENDA Grundläggande kravhanteringsprocess. Insamling, dokumentation, prioritering, Test och förvaltning

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2014/1307 Riktlinjer för informationssäkerhet Fastställda av Säkerhetschef 2014-10-28 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna 4 3 Definitioner

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Informationssäkerhet - en översikt. Louise Yngström, DSV

Informationssäkerhet - en översikt. Louise Yngström, DSV Informationssäkerhet - en översikt Louise Yngström, DSV Närmaste 50 minuterna... Informationssäkerhet? Definition Mål Krav Medel Datasäkerhet säkerhet beträffande skydd av datorsystem och dess data syftande

Läs mer

Molntjänster och integritet vad gäller enligt PuL?

Molntjänster och integritet vad gäller enligt PuL? Molntjänster och integritet vad gäller enligt PuL? Juridik och IT i kommunerna, den 14 mars 2013 Ingela Alverfors, jurist Adolf Slama, IT-säkerhetsspecialist Dagens agenda Molntjänster Mobila enheter Sociala

Läs mer

Frågor och svar. Programvaror och tjänster 2014 - Systemutveckling. Statens inköpscentral vid Kammarkollegiet

Frågor och svar. Programvaror och tjänster 2014 - Systemutveckling. Statens inköpscentral vid Kammarkollegiet Frågor och svar Köpare Upphandling Köpare: Statens inköpscentral vid Kammarkollegiet Namn: Handläggare: Daniel Melin Referensnr: 96-36-2014 Programvaror och tjänster 2014 - Systemutveckling Telefon: +46

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

EBITS 2012-01-09 E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

EBITS 2012-01-09 E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer EBITS 2012-01-09 Arbetsgruppen för Energibranschens Informationssäkerhet E-MÖTE / VIRTUELLT MÖTE 1 Syfte Syftet med detta dokument är att belysa de risker som finns med olika former av virtuella möten.

Läs mer

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg Kontroll över IT för efterlevnad och framgång Johanna Wallmo Peter Tornberg Agenda Direktiv från EU - tidsplan EU:s 8:e direktiv: syfte och innehåll Hur kommer svenska bolag att påverkas? Utmaningar vid

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Examinering i ITIL Foundation

Examinering i ITIL Foundation Examinering i ITIL Foundation Exempelhäfte A, version 5.1 Flervalsfrågor Instruktioner 1. Alla 40 frågorna ska besvaras. 2. Alla svar ska markeras i svarstabellen som följer med. 3. Du har 60 minuter på

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Läs denna sekretesspolicy innan du använder AbbVies webbplatser, eller skickar personlig information till oss.

Läs denna sekretesspolicy innan du använder AbbVies webbplatser, eller skickar personlig information till oss. SEKRETESSPOLICY Ikraftträdandedag: 16.10.2014 Denna sekretesspolicy förklarar hur vi hanterar den personliga information du förser oss med på webbplatser som kontrolleras av AbbVie (inklusive dess dotterbolag

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Svensk Kvalitetsbas kravstandard (1:2016)

Svensk Kvalitetsbas kravstandard (1:2016) Svensk Kvalitetsbas kravstandard (1:2016) 1. Utfärdare 2. Revisorer 3. Verksamheter Antagen den 25 augusti 2016 www.svenskkvalitetsbas.se 1 INNEHÅLL Inledning... 3 Syfte med standarden... 3 Föreningens

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC Checklista Identitetshanteringssystem för SWAMID 2.0 Utarbetad tillsammans med SUNET CERT och SUSEC Bakgrund För att upprätta förtroende i en federation krävs inte bara att identitetsutdelningsprocessen

Läs mer

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer. Botkyrka Kommun Revisionsrapport Generella IT kontroller Aditro och HRM Detaljerade observationer och rekommendationer Oktober 2015 Anders Hägg Fredrik Dreimanis Anna Lång Thomas Bauer Innehållsförteckning

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer